none
Negazioni permessi su utente ?? RRS feed

  • Domanda

  • Exchange 2003 SP2 su SBS 2003.

    Vorrei assegnare il permesso di "Accesso completo alla cassette postali" ad
    un utente ma non riesco in quanto l'utente ha la negazione su quella
    tipologia di permesso.

    Il problema e' che si tratta di una negazione ereditata da non so dove...

    Come faccio a capire da dov'e' che arriva questa negazione ma, sopratutto,
    come faccio ad eliminarla ?

    Girazie



    venerdì 15 aprile 2011 09:11

Risposte

  • Alla fine ho risolto l'enigma utilizzando ADSIEDIT (su indicazione di James
    Chong del gruppo Technet ExchangeServerAdmin).

    Nella speranza che possa essere utile a qualcun altro, riporto quello che ho
    fatto :

    Ho seguito la seguente gerarchia :

    configuration, cn=services, cn=microsoft exchange, cn=org name, cn=admin
    groups, cn=Exchange admin group,cn=servers,cn=mailbox server,cn=information
    store,cn=storagegroup1,cn=mailboxdatabase

    Partendo dal livello piu' basso, ho verificato le proprietà di ogni oggetto
    e relativa scheda di protezione risalendo sino al punto in cui l'utente
    compariva con i permessi non più ereditati (nel mio caso sono dovuto
    risalire sino al livello "Microsoft Exchange").

    Ho quindi rimosso l'utente, riavviato Exchange e le cose sono andate a
    posto.
    Finalmente ho risolto.

    Un grazie , come sempre, a tutti gli utenti del gruppo Italiani e non....

    <IT Global Service s.a.s. _> ha scritto nel messaggio
    news:3e67d6b5-736c-426b-b8b6-84a458e1ccf3@communitybridge.codeplex.com...
    > Ho seguito questa kb: http://support.microsoft.com/?kbid=264733 per
    > abilitare il tab "Protezione" nell' EMS
    >
    > Selezionando il nome dell'organizzazione (quindi immagino che
    > gerarchicamente parlando siamo al top!), quindi tab "Protezione", compare
    > l'utente maledetto con i permessi settati in grigio (quindi ereditati).
    >
    > Visto che non so piu' dove sbattere la testa, avete qualche idea su dove
    > cacchio devo andare a guardare per levarmi dalle scatole 'sto benedetto
    > utente ?!?!
    >
    > Grazie a tutti
    >
    > <IT Global Service s.a.s. _> ha scritto nel messaggio
    > news:f02ff3ca-fe54-413a-a927-bd93fb9bfdca@communitybridge.codeplex.com...
    >> E' corretto sia la prima citazione che la seconda ma forse non riesco a
    >> spiegare correttamente.
    >>
    >> Vedo di chiarire con un esempio:
    >>
    >> Creo un nuovo utente (testuser) e relativa mailbox.
    >> Seleziono con il tasto destro da AD l'utente appena creato quindi:
    >> Proprietà / Impostazioni avanzate di Exchange/Autorizzazioni Cassetta
    >> Postale
    >>
    >> Scorrendo l'elenco delle autorizzazioni compare l'utente incriminato con
    >> le
    >> seguenti autorizzazioni:
    >>
    >> Consenti : Elimina Archivio Cassetta Postale, Lettura Autorizzazioni,
    >> Modifica Autorizzazioni, Proprietario, Accesso completo cassette postali
    >> Nega: Accesso completo cassette postali
    >>
    >> tutte sono in "grigietto" in quanto ereditate da non so dove.. ma la
    >> domanda
    >> e' anche questa: perche' e' stato aggiunto l'utente ??
    >>
    >> L'utente in questione e' membro solo di "Domain Users".
    >>
    >> Quindi... vuol dire che da qualche parte e' stato modificato qualcosa per
    >> fare in modo che quell'utente venga aggiunto automaticamente tra le
    >> autorizzazioni di default di tutti gli utenti. Ma dove ????
    >>
    >> Ora e' piu' chiaro ?
    >>
    >> Grazie
    >
    >
    >
    >



    • Contrassegnato come risposta Anca Popa giovedì 28 aprile 2011 08:21
    martedì 26 aprile 2011 14:37

Tutte le risposte

  • Come faccio a capire da dov'e' che arriva questa negazione ma,
    sopratutto, come faccio ad eliminarla ?

    http://www.techrepublic.com/article/solutionbase-check-group-policy-assignment-with-rsop/5165777

    venerdì 15 aprile 2011 09:30
  • Ciao,
    trattandosi di un utente, il contesto di riferimento è la partizione di dominio di active directory.
    Abilita le advanced feautures in AD e verifica dal dominio, fino all'utente dove sta la negazione (tab security)
    Solitamente le permissions si cercano di dare a livello alto (trees) per poi farle ereditare ai songoli oggetti (leaf).

    Se vuoi dare la possibilità ad un utente di aprire la mbx di un altro, ti basterà bloccare l'ereditarietà (proprio come si fa nel file system ntfs) ed assegnare all'utente i diritti necessari.

    How to Delegate Mailbox Access in Active Directory
    http://support.microsoft.com/kb/262399/en-us

    Saluti
    .m

    Massimiliano Luciani

    venerdì 15 aprile 2011 09:52
  • <Massimiliano Luciani> ha scritto nel messaggio
    news:b552888a-c9a2-438e-8ae8-45ed9c653d32@communitybridge.codeplex.com...
    > Ciao,
    > trattandosi di un utente, il contesto di riferimento è la partizione di
    > dominio di active directory.
    > Abilita le advanced feautures in AD e verifica dal dominio, fino
    > all'utente dove sta la negazione (tab security)
    > Solitamente le permissions si cercano di dare a livello alto (trees) per
    > poi farle ereditare ai songoli oggetti (leaf).

    L'utente si trova nel seguento percorso :
    "Dominio/OU:Mybusiness/OU:Users/OU:SBSUsers
    Ho controllato il tab "Protezione" di ogni oggetto nel percorso ma non c'e'
    alcun riferimento all'utente.

    Il fatto e' che l'utente sembra abbia una negazione sulla proprieta'
    relativa l'accesso alle cassette postali e non sono certo che abbia a che
    fare con la gerarchia nella posizione in AD ma, bensi', in qualche cosa che
    abbia a che fare con Exchange.

    > Se vuoi dare la possibilità ad un utente di aprire la mbx di un altro, ti
    > basterà bloccare l'ereditarietà (proprio come si fa nel file system ntfs)
    > ed assegnare all'utente i diritti necessari.

    L'avevo gia' fatto ma la negazione vince sull'autorizzazione.

    Bohh....



    venerdì 15 aprile 2011 10:35
  • Nel tuo precedente post hai scritto

    > Vorrei assegnare il permesso di "Accesso completo alla cassette postali" ad
    > un utente ma non riesco in quanto l'utente ha la negazione su quella
    > tipologia di permesso.

    ora è diventato

    > Il fatto e' che l'utente sembra abbia una negazione sulla proprieta'
    > relativa l'accesso alle cassette postali e non sono certo che abbia a che
    > fare con la gerarchia nella posizione in AD ma, bensi', in qualche cosa che
    > abbia a che fare con Exchange.

    Le cose sono un pò diverse.
    L'utente o ha o non ha una negazione.
    Se non la vedi da dove ti ho detto allora non ce l'ha :-)

    Le permission di accesso alle cassette postali vengono gestite mediante i permessi di full mailbox access, non esiste nientr'altro che può prevenire questo.
    Questi criteri vengono applicati solitamente una volta restartato il servizio di information store.

    Se l'utente fa parte di un gruppo a cui è applicata una negazione, allora vincerà la negazione, ammenochè non specifichi un allow per quell'utente. Allora vince l'allow.

    Non so se sono stato chiaro.

    Saluti
    .m

    Massimiliano Luciani

    venerdì 15 aprile 2011 10:53
  • E' corretto sia la prima citazione che la seconda ma forse non riesco a
    spiegare correttamente.

    Vedo di chiarire con un esempio:

    Creo un nuovo utente (testuser) e relativa mailbox.
    Seleziono con il tasto destro da AD l'utente appena creato quindi:
    Proprietà / Impostazioni avanzate di Exchange/Autorizzazioni Cassetta
    Postale

    Scorrendo l'elenco delle autorizzazioni compare l'utente incriminato con le
    seguenti autorizzazioni:

    Consenti : Elimina Archivio Cassetta Postale, Lettura Autorizzazioni,
    Modifica Autorizzazioni, Proprietario, Accesso completo cassette postali
    Nega: Accesso completo cassette postali

    tutte sono in "grigietto" in quanto ereditate da non so dove.. ma la domanda
    e' anche questa: perche' e' stato aggiunto l'utente ??

    L'utente in questione e' membro solo di "Domain Users".

    Quindi... vuol dire che da qualche parte e' stato modificato qualcosa per
    fare in modo che quell'utente venga aggiunto automaticamente tra le
    autorizzazioni di default di tutti gli utenti. Ma dove ????

    Ora e' piu' chiaro ?

    Grazie



    <Massimiliano Luciani> ha scritto nel messaggio
    news:febe584c-99b3-4477-8a7c-27cb11ddb6b5@communitybridge.codeplex.com...
    > Nel tuo precedente post hai scritto
    >
    >> Vorrei assegnare il permesso di "Accesso completo alla cassette postali"
    >> ad
    >> un utente ma non riesco in quanto l'utente ha la negazione su quella
    >> tipologia di permesso.
    >
    > ora è diventato
    >
    >> Il fatto e' che l'utente sembra abbia una negazione sulla proprieta'
    >> relativa l'accesso alle cassette postali e non sono certo che abbia a che
    >> fare con la gerarchia nella posizione in AD ma, bensi', in qualche cosa
    >> che
    >> abbia a che fare con Exchange.
    >
    > Le cose sono un pò diverse.
    > L'utente o ha o non ha una negazione.
    > Se non la vedi da dove ti ho detto allora non ce l'ha :-)
    >
    > Le permission di accesso alle cassette postali vengono gestite mediante i
    > permessi di full mailbox access, non esiste nientr'altro che può prevenire
    > questo.
    > Questi criteri vengono applicati solitamente una volta restartato il
    > servizio di information store.
    >
    > Se l'utente fa parte di un gruppo a cui è applicata una negazione, allora
    > vincerà la negazione, ammenochè non specifichi un allow per quell'utente.
    > Allora vince l'allow.
    >
    > Non so se sono stato chiaro.
    >
    > Saluti
    > m
    >
    > Massimiliano Luciani
    >



    venerdì 15 aprile 2011 16:17
  • Ho seguito questa kb: http://support.microsoft.com/?kbid=264733 per
    abilitare il tab "Protezione" nell' EMS

    Selezionando il nome dell'organizzazione (quindi immagino che
    gerarchicamente parlando siamo al top!), quindi tab "Protezione", compare
    l'utente maledetto con i permessi settati in grigio (quindi ereditati).

    Visto che non so piu' dove sbattere la testa, avete qualche idea su dove
    cacchio devo andare a guardare per levarmi dalle scatole 'sto benedetto
    utente ?!?!

    Grazie a tutti

    <IT Global Service s.a.s. _> ha scritto nel messaggio
    news:f02ff3ca-fe54-413a-a927-bd93fb9bfdca@communitybridge.codeplex.com...
    > E' corretto sia la prima citazione che la seconda ma forse non riesco a
    > spiegare correttamente.
    >
    > Vedo di chiarire con un esempio:
    >
    > Creo un nuovo utente (testuser) e relativa mailbox.
    > Seleziono con il tasto destro da AD l'utente appena creato quindi:
    > Proprietà / Impostazioni avanzate di Exchange/Autorizzazioni Cassetta
    > Postale
    >
    > Scorrendo l'elenco delle autorizzazioni compare l'utente incriminato con
    > le
    > seguenti autorizzazioni:
    >
    > Consenti : Elimina Archivio Cassetta Postale, Lettura Autorizzazioni,
    > Modifica Autorizzazioni, Proprietario, Accesso completo cassette postali
    > Nega: Accesso completo cassette postali
    >
    > tutte sono in "grigietto" in quanto ereditate da non so dove.. ma la
    > domanda
    > e' anche questa: perche' e' stato aggiunto l'utente ??
    >
    > L'utente in questione e' membro solo di "Domain Users".
    >
    > Quindi... vuol dire che da qualche parte e' stato modificato qualcosa per
    > fare in modo che quell'utente venga aggiunto automaticamente tra le
    > autorizzazioni di default di tutti gli utenti. Ma dove ????
    >
    > Ora e' piu' chiaro ?
    >
    > Grazie



    lunedì 18 aprile 2011 15:14
  • Alla fine ho risolto l'enigma utilizzando ADSIEDIT (su indicazione di James
    Chong del gruppo Technet ExchangeServerAdmin).

    Nella speranza che possa essere utile a qualcun altro, riporto quello che ho
    fatto :

    Ho seguito la seguente gerarchia :

    configuration, cn=services, cn=microsoft exchange, cn=org name, cn=admin
    groups, cn=Exchange admin group,cn=servers,cn=mailbox server,cn=information
    store,cn=storagegroup1,cn=mailboxdatabase

    Partendo dal livello piu' basso, ho verificato le proprietà di ogni oggetto
    e relativa scheda di protezione risalendo sino al punto in cui l'utente
    compariva con i permessi non più ereditati (nel mio caso sono dovuto
    risalire sino al livello "Microsoft Exchange").

    Ho quindi rimosso l'utente, riavviato Exchange e le cose sono andate a
    posto.
    Finalmente ho risolto.

    Un grazie , come sempre, a tutti gli utenti del gruppo Italiani e non....

    <IT Global Service s.a.s. _> ha scritto nel messaggio
    news:3e67d6b5-736c-426b-b8b6-84a458e1ccf3@communitybridge.codeplex.com...
    > Ho seguito questa kb: http://support.microsoft.com/?kbid=264733 per
    > abilitare il tab "Protezione" nell' EMS
    >
    > Selezionando il nome dell'organizzazione (quindi immagino che
    > gerarchicamente parlando siamo al top!), quindi tab "Protezione", compare
    > l'utente maledetto con i permessi settati in grigio (quindi ereditati).
    >
    > Visto che non so piu' dove sbattere la testa, avete qualche idea su dove
    > cacchio devo andare a guardare per levarmi dalle scatole 'sto benedetto
    > utente ?!?!
    >
    > Grazie a tutti
    >
    > <IT Global Service s.a.s. _> ha scritto nel messaggio
    > news:f02ff3ca-fe54-413a-a927-bd93fb9bfdca@communitybridge.codeplex.com...
    >> E' corretto sia la prima citazione che la seconda ma forse non riesco a
    >> spiegare correttamente.
    >>
    >> Vedo di chiarire con un esempio:
    >>
    >> Creo un nuovo utente (testuser) e relativa mailbox.
    >> Seleziono con il tasto destro da AD l'utente appena creato quindi:
    >> Proprietà / Impostazioni avanzate di Exchange/Autorizzazioni Cassetta
    >> Postale
    >>
    >> Scorrendo l'elenco delle autorizzazioni compare l'utente incriminato con
    >> le
    >> seguenti autorizzazioni:
    >>
    >> Consenti : Elimina Archivio Cassetta Postale, Lettura Autorizzazioni,
    >> Modifica Autorizzazioni, Proprietario, Accesso completo cassette postali
    >> Nega: Accesso completo cassette postali
    >>
    >> tutte sono in "grigietto" in quanto ereditate da non so dove.. ma la
    >> domanda
    >> e' anche questa: perche' e' stato aggiunto l'utente ??
    >>
    >> L'utente in questione e' membro solo di "Domain Users".
    >>
    >> Quindi... vuol dire che da qualche parte e' stato modificato qualcosa per
    >> fare in modo che quell'utente venga aggiunto automaticamente tra le
    >> autorizzazioni di default di tutti gli utenti. Ma dove ????
    >>
    >> Ora e' piu' chiaro ?
    >>
    >> Grazie
    >
    >
    >
    >



    • Contrassegnato come risposta Anca Popa giovedì 28 aprile 2011 08:21
    martedì 26 aprile 2011 14:37
  • Ciao IT Global Service s.a.s._,

    Ti ringrazio di aver postato la soluzione a beneficio della community. Colgo l'occasione per ringraziare anche Obi e Massimiliano della collaborazione.

    Saluti e buona giornata,


    Anca Popa Follow ForumTechNetIt on Twitter

    SBS 2011 Essentials: download, documentazione e video

    Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto viene fornito “così come è” e non comporta alcuna responsabilità da parte dell'azienda

    giovedì 28 aprile 2011 09:53